NFT 精准钓鱼事件技术分析与资金流向分析
2022年4月1日,愚人节,周杰伦在Instagram上发文称持有的BAYC#3738 NFT(该 NFT 在今年1月由黄立成赠送)已被盗了!同时被盗的还有MAYC #16500 Doodles #768 Doodles #725,价值169.6 ETH,超过300万元。
SharkTeam第一时间对此事件进行了技术分析和资金流向分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
攻击者地址:0xe34f004bdef6f069b92dc299587d6c8a731072da
(1)周董被钓鱼,应该是通过某个钓鱼网站将0x71de2开头的钱包地址签名授权(approve)交易,将NFT的权限授予了攻击者地址(0xe34f00),这时周董还没意识到自己的NFT已经处于风险之中。
(2)仅仅过去几分钟,攻击者就将这4个NFT转移到自己的地址中。
(3)在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6 ETH
(4)通过地址0x6e85c36e75dc03a80f2fa393055935c7f3185b15将脏款转入Tornado混币平台。
值得注意的是,攻击地址(0xe34f00)在3、4天前在开始使用,整个攻击过程很明显不是通过合约自动化执行,而是有人放出“诱饵”后等待周董上钩,之后一气呵成,在很短时间内手动操作完成。我们分析这次不同于之前面向所有用户的OpeaSea钓鱼事件,而是一次针对周董的精准钓鱼攻击,可能是周董周围的人通过特定钓鱼网站获得了周董的钱包地址授权。
(1) 攻击者一方面知道周董具体的钱包地址,所以能第一时间发觉周董账号上钩并立即执行后续。
(2) 攻击地址在此次攻击前和攻击后都没有进行任何其他钓鱼攻击,处于静默,这不符合钓鱼攻击的行为逻辑。
私钥失窃后周董的OpenSea账户将BAYC#3738发送给了E34F00,该账户迅速出售了NFT并注销了在OpenSea上的账户。
通过ChainAegis进行链上查询,周杰伦链上地址为0x71de2148051a7544a082178b3e6a6dd1e0fe97a1,BAYC#3738失窃后该地址将其他拥有的NFT转移到了0xa13985568ec4656810ead16cb36264cad3109dca。
通过ChainAegis进行链上查询,攻击者链上地址为:
0xe34F004BDef6F069b92dc299587D6c8A731072Da,已被系统标签库标记为钓鱼地址。
进一步追踪发现销赃地址为0x59728544b08ab483533076417fbbb2fd0b17ce3a:
通过ChainAegis标签库查得该地址为LooksRare NFT交易所合约地址,判断攻击者通过该交易所对BAYC#3738完成了销赃。
销赃后攻击者将赃款转移至0x6E85C36e75dc03A80F2fA393055935C7f3185b15,后通过Tornado.Cash对赃款进行洗钱操作。
SharkTeam提醒您,不要访问您不熟悉或不确定的网站,坚决不要将您的地址授权给任何您不确定的合约或项目。
Website: https://www.sharkteam.org/
Telegram: https://t.me/sharkteamorg
Twitter:https://twitter.com/sharkteamorg
更多区块链安全咨询与分析,点击下方链接查看
D查查|链上风险核查 https://m.chainaegis.com/
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!